身份與訪問管理（IAM）相關控制淺析

謝宗曉 董坤祥 甄杰

“十二五”國家重點圖書出版規劃項目《信息安全管理體系叢書》執行主編。自2003年起，從事信息安全風險評估與信息安全管理體系的咨詢與培訓工作。目前，已發表論文80多篇，出版專著近20本。

信息安全管理系列之五十三

身份與訪問管理（Identity & Access Management，IAM）是信息安全中重要的控制域之一，在之前的討論中，陸續開始介紹主流的安全技術，本文作為該系列之一，介紹了與身份與訪問管理的主要概念、機制及其相關控制。

謝宗曉（特約編輯）

摘要：介紹身份與訪問管理中憑證和公鑰基礎設施等主要概念，身份鑒別/實體鑒別協議，以及其相關控制，以FIPS PUB 201-2為例討論了集成應用。

關鍵詞：信息安全 網絡安全 身份與訪問管理

A Brief Analysis of Identity and Access Management （IAM） Related Control

Xie Zongxiao （China Financial Certification Authority， CFCA）

Dong Kunxiang （School of Management Science and Engineering， Shandong University of Finance and Economics）

Zhen Jie （School of Business Planning， Chongqing Technology and Business University）

Abstract： This paper introduces the main concepts such as credentials and public key infrastructure in identity and access management， authentication/entity authentication protocol， and its related control， on the basis of which the integrated application is discussed with FIPS PUB 201-2.

Key words： information security， network security， Identity & Access Management （IAM）

身份與訪問管理，有時候也被稱為“身份管理（Identity Management，IDM）”。IAM是一個策略和技術的框架集，用于確保組織中的適當人員能夠適當地訪問相應的資源，主要包括：1）身份鑒別（authentication）/實體鑒別（entity authentication）1）協議;2）憑證（credential）;3）公鑰基礎設施（Public Key Infrastructure，PKI）;4）授權（privilege authorization）;5）訪問控制（access control）。

1 身份鑒別/實體鑒別協議

身份鑒別/實體鑒別，是指確認一個實體所聲稱身份的過程[1]。所謂鑒別機制，是指用于證實某個實體就是他所稱的實體。一般而言，待鑒別的實體通過表明它確實知道某個秘密、持有某種特有物品，或者擁有某種特征，來證明其身份。實體鑒別，有單向的，也有雙向的。對于單向鑒別，如果實體A定義為聲稱方，則實體B定義為驗證方。這是最常見的模式，例如，日常的系統登錄，A一般指的是用戶，B一般指的是系統。

關于實體鑒別，有一個比較重要的標準，ISO/IEC 9798《信息技術 安全技術 實體鑒別》Information technology—Security techniques —Entity authentication，目前其狀態如表1所示。

ISO/IEC 9798是關于實體鑒別模式的，只是規定了鑒別模型及一般安全要求，例如，第2部分是采用對稱加密算法的實體鑒別機制，但是其中并不涉及具體的身份鑒別/實體鑒別技術?；蛘哒f，ISO/IEC 9798僅僅是一個框架，并不涉及如何區分實體，或者如何產生可區分標識符。

2 憑證

目前，身份鑒別技術中使用各種各樣的憑證，最常見也最實用的毫無疑問是口令（password），但是口令存在一個問題，就是集中存儲所帶來的風險，因此，口令應該加密存儲。一般而言，口令的保存以不可逆的加密算法，或者是單向散列函數算法，加密存儲。

整體而言，身份鑒別技術所使用的憑證，可以分為三大類：

1） 你所知道的信息（what you know），例如，口令，PIN（Personal Identification Number）等;

2） 你所擁有的東西（what you have），例如，智能卡、USB Key等;

3） 你獨一無二的特征（who you are），比如，指紋、人臉識別等。

已經存在的諸多身份鑒別方式，各有利弊。例如，現在最流行的是生物識別技術，包括指紋和人臉識別。為了解決集中存儲所帶來的風險，口令可以加密存儲，這是第一道防線，即便扛不住攻擊，可以通知用戶及時修改口令，這也就是說，一般而言，攻擊者不會花費大量的精力去破解加密的口令，因為不值得。

但是對于指紋和人臉等特征就不同了，這些特征不能輕易改變，攻擊者就有動力去獲取并破解。因此，集中存儲生物特征所帶來的風險，就遠不是口令所能比的。加上對稱密碼學的密文中集成了密鑰[2]，所以無論是線上快速身份驗證（Fast Identity Online， FIDO）聯盟 還是互聯網金融身份認證聯盟（Internet Finance Authentication Alliance， IFAA）都是建立在公鑰密碼學基礎上。

對內部管理用戶而言，一般系統使用口令即可，但是對于銀行而言，大批量處理敏感個人信息、查詢征信、系統運維、特權審批的崗位等，應該使用雙因素認證，包括指紋、U盾和證書等。

3 公鑰基礎設施

既然說到公鑰密碼學，就容易想到PKI[3-4]，同時引入了一個詞匯——認證，例如，認證機構（Certification Authority，CA）。在公鑰密碼中，發送者用公鑰（加密密鑰）加密，接收者用私鑰（解密密鑰）解密。公鑰一般是公開的，不再擔心竊聽，這解決了對稱密碼中難以解決的密鑰配送問題。但是接收者依然無法判斷收到的公鑰是否是合法的，因為有可能是中間人假冒的。事實上，僅靠公鑰密碼本身，無法防御中間人攻擊。于是，需要（認證機構）對公鑰進行簽名，從而確認公鑰沒有被篡改。加了數字簽名的公鑰稱為證書（公鑰證書，一般簡稱為證書）。

也就是說，PKI中的“認證”也是證明其身份的過程，具有一定的權威性， CA對公鑰簽名，本質上是有第三方參與的。“鑒別”與這個概念不同，含有“篩選”“甄選”的意思，從一堆里面挑出來。還有，在PKI中的認證，并不需要頻繁地進行。CA在生成證書時，會對公鑰是否被篡改進行認證，然后將認證結果以證書的形式發放。之后，使用該證書中包含的公鑰對數字簽名進行驗證的PKI用戶，而不是CA。從這個意義上講，CA應該稱為“證書頒發機構”[5]。

4 授權與訪問控制

授權，是指在屬性管理系統中，將主體與角色綁定的過程[1]。鑒別和授權是兩件不同的事，鑒別指的是證明聲稱方（claimant）確實是聲稱者本體，當然，嚴格講，兩者都是訪問控制的一部分。

基于角色的訪問控制（Role-Based Access Control，RBAC）可能是目前使用最廣泛的授權方案（authorization scheme），其中的角色（例如，經理、應收賬款職員、信貸員）提供了用戶權限、職責或工作職能的一種表達方法。在RBAC中，將用戶賦予角色的過程，實際是間接地授予與角色關聯的用戶權限。這種訪問控制方法通常稱為基于屬性的訪問控制（Attribute-Based Access Control，ABAC）。

組織在考慮訪問控制系統時，應該考慮三個方面：1）訪問策略;2）訪問模型;3）訪問機制。訪問控制策略指定如何管理訪問以及在什么情況下誰可以訪問信息。訪問控制策略是通過一種機制執行的，這種機制通常根據系統提供的結構轉換用戶的訪問請求。訪問控制列表（Access Control List，ACL）是一個常見的例子。訪問控制模型在策略和機制之間架起了橋梁。安全模型通常用于描述訪問控制系統的安全屬性，而不是僅在機制級別評估和分析訪問控制系統。安全模型是系統執行的安全策略的正式表示，對于證明系統的理論局限性非常有用。

5 集成示例：FIPS PUB 201-2

在一般的Web應用程序通常使用三層相互關聯的安全機制處理用戶訪問：1）身份鑒別;2）會話管理;3）訪問控制。在實際的應用中，身份與訪問管理（IAM）都是一套組合拳，一般不會是單一功能的部署。

美國國土安全部總統12號指令（Homeland Security Presidential Directive-12，HSPD-12）為了加強安全、提高政府效率、減少身份欺詐和保護個人隱私的政策，為聯邦政府向其雇員和承包商發布的安全可靠的身份證明形式建立了強制性的、政府范圍內的要求。

基于此，美國國家標準與技術研究院（NIST）發布了FIPS PUB 201-2，《聯邦雇員與承包商個人身份驗證》[Personal Identity Verification （PIV） of Federal Employees and Contractors]，其中定義了聯邦雇員和承包商通用的身份識別標準的體系結構和技術要求，整體的目標是通過有效地驗證試圖物理訪問聯邦控制的政府設施和邏輯訪問政府信息系統的個人所聲稱的身份，為多個應用程序實現適當的安全保證。

也就是說，HSPD-12是原則性要求，FIPS PUB 201-2是具體細化。相應的還有一系列更具體的要求和實現指南。例如，SP 800-76規定了生物特征信息的收集和格式化的要求，SP 800-78則規定了密碼算法和密鑰長度等相關問題。

參考文獻

[1] 國家密碼管理局. 密碼術語：GM/Z 0001—2013[S].北京：? ? ?中國標準出版社， 2013.

[2] Diffie W， Hellman M E. New directions in cryptography? ? ?[J]. IEEE Transactions on Information Theory， 1976，?? ? ?22（6）：644-654.

[3] 謝宗曉，劉琦. 公鑰基礎設施（PKI）國際標準進展[J]. 金融? ? ? 電子化， 2018， （10）：56-59.

[4] 謝宗曉，甄杰.公鑰基礎設施（PKI）國家標準解析[J].中國質? ? ? 量與標準導報，2018（12）：18-21.

[5] 結城浩.圖解密碼技術（第3版）[M].北京：中國工信出版? ? ?集團/人民郵電出版社，2016.